A resiliência cibernética é um conceito que reúne a continuidade dos negócios, a segurança dos sistemas de informação e a resiliência organizacional. Ou seja, o conceito descreve a capacidade de continuar a produzir os resultados pretendidos, apesar de enfrentar eventos cibernéticos desafiantes, como ataques cibernéticos, catástrofes naturais ou crises econômicas.
Em outras palavras, um nível medido de proficiência e resiliência em segurança da informação afeta o quão bem uma organização pode continuar as operações comerciais com pouco ou nenhum tempo de inatividade.
Em termos de negócios, a resiliência cibernética é a capacidade de uma empresa limitar o impacto de incidentes de segurança, implantando e otimizando ferramentas e processos de segurança apropriados. A resiliência cibernética também inclui a capacidade da organização de reforçar continuamente as suas defesas cibernéticas globais face a ameaças cibernéticas adversas.
Os atributos da resiliência cibernética são:
- Alinhar a segurança da informação, continuidade de negócios e adaptabilidade organizacional.
- Proteger a empresa contra qualquer coisa que possa impactar negativamente a disponibilidade, integridade ou confidencialidade dos sistemas de TI em rede e das informações e serviços associados.
- Desenvolver e capacitar equipes de segurança hiperconscientes, hipervigilantes e hipercapazes de manter a organização segura.
- Preparar-se, responder e recuperar-se de ameaças cibernéticas em tempo hábil, com interrupção mínima das operações.
- Ser capaz de se adaptar a crises, ameaças, adversidades e desafios conhecidos e desconhecidos.
Por que a resiliência cibernética é importante?
- O número de ataques cibernéticos e seu impacto nos negócios cresceu significativamente nos últimos anos, com mais da metade (58%) das pequenas empresas relatando ter sofrido uma violação de dados.
- As violações resultam em perdas financeiras, interrupções nos negócios, danos à reputação e ações regulatórias. 2021 teve os custos médios de violação de dados mais elevados, passando de 3,86 milhões de dólares para 4,24 milhões de dólares, o custo total médio mais elevado nos 17 anos de história do relatório.
- A detecção precoce e a recuperação rápida permitem que as organizações mitiguem riscos e impactos, permitindo operações comerciais contínuas.
- A conectividade onipresente dissolveu os perímetros de rede e espalhou os aplicativos por muitos sistemas baseados em nuvem, o que sobrecarregou os recursos de segurança de TI e aumentou significativamente os riscos cibernéticos.
- As violações da segurança cibernética não são mais uma questão de “se”, mas de “quando”.
Portanto, uma estratégia de resiliência cibernética é vital para a continuidade dos negócios. Pode proporcionar benefícios que vão além do aumento da postura de segurança de uma empresa e da redução do risco de exposição à sua infraestrutura crítica. A resiliência cibernética também ajuda a reduzir perdas financeiras e danos à reputação. E se uma organização receber a certificação de resiliência cibernética, ela poderá inspirar confiança em seus clientes e consumidores. Além disso, uma empresa ciber-resiliente pode optimizar o valor que cria para os seus clientes, aumentando a sua vantagem competitiva através de operações eficazes e eficientes.
Mitigar perdas financeiras
As perdas financeiras podem levar à perda de confiança das partes interessadas da empresa, tais como acionistas, investidores, funcionários e clientes. De acordo com o Relatório de Organização Ciberresiliente de 2020 da IBM Security™, mais de 50% das organizações sofreram um incidente de segurança cibernética que interrompeu significativamente a tecnologia da informação (TI) e os processos de negócios. Além disso, o custo médio de uma violação de dados é de 4,24 milhões de dólares, de acordo com o Estudo de Custo de uma Violação de 2021 da Ponemon.
Ganhar a confiança do cliente e negócios
Para atrair clientes e conquistar seus negócios, algumas organizações cumprem padrões internacionais de gestão, como a ISO/IEC 27001 fornecida pela Organização Internacional de Padronização. A ISO/IEC 27001 fornece condições para um sistema de gestão de segurança da informação (SGSI) gerenciar a segurança de ativos, como detalhes de funcionários, informações financeiras, propriedade intelectual ou informações confiadas a terceiros. Nos EUA, as empresas podem buscar a certificação do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS), um pré-requisito para o processamento de pagamentos, como cartões de crédito.
Aumentar a vantagem competitiva
A resiliência cibernética proporciona às organizações uma vantagem competitiva sobre as empresas que não a possuem. As empresas que desenvolvem sistemas de gestão baseados nas melhores práticas, como a Information Technology Infrastructure Library (ITIL), criam uma operação eficaz. O mesmo acontece quando desenvolvem um sistema de gestão para a resiliência cibernética. E como resultado, estes sistemas criam valor para os seus clientes.
Como você alcança a resiliência cibernética?
Há uma série de medidas que as organizações podem tomar para melhorar a sua resiliência cibernética, incluindo:
Melhorar a segurança
As organizações devem melhorar as suas medidas de segurança para dificultar o acesso dos atacantes aos seus sistemas. Isso inclui coisas como usar senhas fortes e autenticação de dois fatores, além de manter o software atualizado.
Detecção de ataques
As organizações precisam ser capazes de detectar ataques rapidamente para que possam responder rapidamente e minimizar os danos. Isso inclui ter sistemas implementados para monitorar atividades suspeitas e treinar a equipe para detectar sinais de um ataque.
Resposta a ataques
Depois que um ataque é detectado, as organizações precisam ter um plano em vigor sobre como responder para minimizar os danos. Isso deve incluir quem contatar e quais etapas tomar.
Recuperação de ataques
Depois que um ataque for resolvido com sucesso, as organizações precisam ser capazes de recuperar seus sistemas e dados. Isso inclui ter backups em vigor e um plano de como restaurar os sistemas.
As quatro categorias de resiliência cibernética
A Resiliência Cibernética de Governança de TI do Reino Unido recomenda uma abordagem de quatro partes para a resiliência cibernética:
Gerencie e proteja
A primeira categoria de um programa de resiliência cibernética envolve a capacidade de implementar medidas de segurança da informação adequadas ao risco – contando com pessoas, processos e tecnologia – para proteger a confidencialidade, integridade e disponibilidade dos seus ativos de informação, processos empresariais e infraestruturas.
Requer também a proteção de informações e sistemas contra-ataques cibernéticos, falhas de sistemas e acesso não autorizado.
Esta categoria pode abranger:
- Gestão de ativos
- Políticas de segurança da informação
- Segurança física e ambiental
- Controle de identidade e acesso
- Proteção contra malware
- Configuração e gerenciamento de patches
- Criptografia
- Sistema de segurança
- Segurança de redes e comunicações
- Competência e treinamento em segurança
- Treinamento de conscientização da equipe
- Programa abrangente de gerenciamento de riscos
- Gestão de riscos da cadeia de suprimentos
O primeiro elemento da Estrutura de Resiliência Cibernética da Governança de TI envolve o gerenciamento de suas defesas e a proteção de sua organização contra ameaças cibernéticas.
A medida em que você implementa as medidas abaixo dependerá do seu ambiente e dos requisitos de conformidade.
Proteção contra malware
O software e outras medidas técnicas devem proteger os sistemas e informações do seu computador contra uma ampla variedade de malware (incluindo vírus de computador, worms, spyware, software de botnet e ransomware).
Políticas de informação e segurança
Você deve documentar como sua organização planeja proteger seus ativos físicos e de informações. As políticas devem ser comunicadas e compreendidas por todos os funcionários e contratados.
Programa formal de gerenciamento de segurança da informação
Deve haver uma abordagem estruturada para proteger os ativos de informação em toda a sua organização, tendo em conta as pessoas, os processos e a tecnologia. Esta abordagem deve unificar os outros processos.
Controle de identidade e acesso
Devem ser implementadas medidas para garantir que as pessoas que tentam aceder à informação e aos sistemas de informação são quem dizem ser e que estão autorizadas a aceder a essa informação. Isso precisa incluir acesso físico e também acesso lógico.
Competência e treinamento da equipe de segurança
As equipas de segurança devem ser devidamente qualificadas e regularmente formadas sobre como responder a incidentes de segurança cibernética. Deverão também existir processos para desenvolver equipas de segurança e identificar as competências necessárias.
Treinamento de conscientização da equipe
Os funcionários devem receber treinamento regular de conscientização sobre segurança cibernética e estar cientes das ameaças e procedimentos de segurança. Isto pode incluir ajudas suplementares, como cartazes, briefings, etc.
Criptografia
Sua organização deve ter um processo documentado que defina quando e como a criptografia é aplicada para proteger as informações, levando em consideração as informações em trânsito e em repouso.
Segurança física e ambiental
Devem ser implementados controlos de segurança física e ambiental para reduzir o risco representado por ameaças no ambiente físico, incluindo perigos naturais ou ambientais, e intrusão física por indivíduos não autorizados.
Gerenciamento de patches
Sua organização deve ter um processo que defina como o software nos computadores e dispositivos de rede é mantido atualizado. Os processos de gerenciamento de patches também podem afetar as políticas de aquisição para garantir que o software seja suportado e continuará a receber quaisquer patches necessários, e para retirar software que não é mais suportado.
Segurança de redes e comunicações
A infraestrutura de rede da sua organização deve ser protegida com tecnologias e processos apropriados, como switches, firewalls, segregação e DMZs. Isto pode incluir a proteção de ativos de comunicações físicas, como cabeamento.
Segurança de sistemas
Os sistemas devem ser projetados para serem seguros, incluindo sistemas internos e externos, como aplicativos da Web e bancos de dados.
Gestão de ativos
Os ativos (tanto informativos quanto físicos) devem ser registrados, rastreados e gerenciados durante todo o seu ciclo de vida. Cada ativo deve ter um “proprietário” definido que seja responsável por ele.
Gestão de riscos da cadeia de suprimentos
A sua organização deve implementar medidas para proteger as informações em toda a cadeia de abastecimento, tais como requisitos de segurança em contratos, acordos de não divulgação e regras para partilha de informações. Estes devem abranger toda a cadeia de abastecimento, incluindo fornecedores físicos, fornecedores de software e prestadores de serviços em nuvem.
Identificar e detectar
A segunda categoria de um programa de resiliência cibernética depende da monitorização contínua das redes e dos sistemas de informação para detectar anomalias e potenciais incidentes de segurança cibernética antes que possam causar quaisquer danos significativos.
Esta categoria pode abranger:
- Inteligência de ameaças e vulnerabilidades
- Monitoramento de segurança
O segundo elemento da Estrutura de Resiliência Cibernética da Governança de TI concentra-se no monitoramento de anomalias nas informações e nos sistemas de informação da sua organização.
A medida em que você implementa as medidas abaixo dependerá do seu ambiente e dos requisitos de conformidade.
Monitoramento de segurança
Os sistemas, redes e medidas de segurança da sua organização devem ser continuamente observados e registados, tanto através de meios automatizados como através de atividades menos frequentes, como verificação de vulnerabilidades e testes de penetração. Quaisquer anomalias e fraquezas identificadas devem ser corrigidas.
Detecção ativa
A sua organização também deve procurar ativamente detectar incidentes (por exemplo, analisando manualmente os registos de auditoria e recolhendo informações externas à organização). Devem ser implementadas medidas para ajudar a detectar atividades maliciosas que, de outra forma, poderiam ser difíceis de identificar.
Responder e recuperar
Um programa de gerenciamento de resposta a incidentes e medidas de continuidade de negócios ajudarão você a continuar operando mesmo se sofrer um ataque cibernético e a voltar aos negócios normalmente o mais rápido possível.
Esta categoria pode abranger:
- Gerenciamento de resposta a incidentes
- Gestão de continuidade de TIC
- Gestão de Continuidade de Negócios
O terceiro elemento do Quadro de Resiliência Cibernética da Governação de TI aborda a necessidade de gerir incidentes de forma rápida e eficaz para limitar os danos e regressar à plena funcionalidade.
A medida em que você implementa as medidas abaixo dependerá do seu ambiente e dos requisitos de conformidade.
Gerenciamento de resposta a incidentes
Os serviços de TIC são resilientes em caso de desastre e podem ser recuperados dentro de prazos acordados com a gestão superior.
Gestão de continuidade de TIC (tecnologia de informação e comunicação)
Planos, funções definidas, treinamento, comunicações e supervisão de gerenciamento para descobrir rapidamente um incidente e conter eficazmente os danos, erradicar a ameaça e restaurar a integridade da rede e dos sistemas afetados. Existem limites e prazos acordados para a recuperação das funções das TIC na sequência de um incidente.
Gestão de Continuidade de Negócios
Medidas para identificar o risco de exposição a ameaças internas e externas e para lidar com grandes perturbações, como ataques cibernéticos, inundações e falhas de abastecimento.
Compartilhamento de informações e colaboração
As informações sobre ameaças e vulnerabilidades são compartilhadas entre fornecedores, parceiros, órgãos do setor e autoridades para aumentar a capacidade coletiva de detectar, prevenir, mitigar, responder e se recuperar proativamente de incidentes de segurança cibernética.
O terceiro elemento do Quadro de Resiliência Cibernética da Governação de TI aborda a necessidade de gerenciar incidentes de forma rápida e eficaz para limitar os danos e regressar à plena funcionalidade.
Governar e garantir
A categoria final é garantir que seu programa seja supervisionado pelo topo da organização e integrado aos negócios normalmente. Com o tempo, ele deverá se alinhar cada vez mais aos seus objetivos de negócios mais amplos.
Esta categoria pode abranger:
- Programa formal de gerenciamento de segurança da informação
- Processo de melhoria contínua
- Compromisso e envolvimento do conselho
- Estrutura e processos de governança
- Auditoria interna
- Certificação/validação externa
O quarto elemento do Quadro de Resiliência Cibernética da Governança de TI inclui atividades para o conselho e os gestores seniores para garantir que a resiliência cibernética seja supervisionada e validada a partir do topo da organização.
A medida em que você implementa as medidas abaixo dependerá do seu ambiente e dos requisitos de conformidade.
Programa abrangente de gerenciamento de riscos
Um processo sistemático e contínuo de identificação, avaliação e resposta a riscos cibernéticos e de segurança da informação. Esta é uma competência fundamental para qualquer quadro eficaz de segurança cibernética ou de resiliência cibernética e informará como e quando os outros processos serão aplicados.
Validação/certificação externa
A certificação de acordo com padrões internacionais ou estruturas de segurança cibernética estabelecidas fornece validação externa da segurança e resiliência cibernética da sua organização e pode fornecer garantia aos clientes e outras partes interessadas. Em alguns casos, terceiros podem exigir auditorias de conformidade ou validação através de um esquema específico.
Auditoria interna
Um programa de auditorias regulares avalia os controles de segurança da informação da organização. Os resultados são avaliados como parte de uma revisão da alta administração.
Compromisso e envolvimento do conselho
O conselho endossa, apoia e participa da estratégia de segurança cibernética e recebe atualizações regulares sobre questões de segurança, riscos e conformidade.
Estrutura e processos de governança
A organização tem estruturas de governação claras e linhas definidas de responsabilidade e prestação de contas para supervisionar os seus processos de segurança cibernética e resiliência. Isto pode incluir a organização de diferentes elementos do quadro em funções supervisionadas por um diretor responsável ou comité de governação.
Processo de melhoria contínua
Um processo para revisar e melhorar continuamente as medidas de segurança da organização e para se adaptar ao cenário de ameaças em constante mudança. Isso pode incluir a adoção de modelos de melhoria bem conhecidos, como PDCA (Plan-Do-Check-Act), Melhoria de Serviço Continuada do ITIL® ou ciclo de vida de melhoria contínua do COBIT®.
O que é uma resiliência cibernética eficaz?
A resiliência cibernética eficaz deve ser uma estratégia baseada no risco em toda a empresa, uma abordagem colaborativa conduzida desde os executivos até todos na organização, parceiros, participantes da cadeia de abastecimento e clientes. Deve gerir proativamente riscos, ameaças, vulnerabilidades e os efeitos sobre informações críticas e ativos de apoio.
A resiliência cibernética eficaz também envolve governação, gestão de riscos, compreensão da propriedade dos dados e gestão de incidentes. Avaliar estas características também exige experiência e julgamento.
Além disso, uma organização também deve equilibrar os riscos cibernéticos com oportunidades alcançáveis e vantagens competitivas. Deve considerar se a prevenção eficaz em termos de custos é viável e se, em vez disso, pode conseguir uma rápida deteção e correção com um bom efeito a curto prazo na resiliência cibernética. Para fazer isso, uma empresa deve encontrar o equilíbrio certo entre três tipos de controles: preventivo, detectivo e corretivo. Estes controlos previnem, detectam e corrigem incidentes que ameaçam a resiliência cibernética de uma organização.
Como funciona a resiliência cibernética?
A resiliência cibernética pode ser entendida através de um ciclo de vida baseado nas etapas do ciclo de vida do serviço da Information Technology Infrastructure Library (ITIL): estratégia, design, transição, operação e melhoria.
Estratégia de resiliência cibernética
Com base nos objetivos da organização, o trabalho estratégico identifica activos críticos, tais como informações, sistemas e serviços que são mais importantes para ela e para as suas partes interessadas. Este trabalho também inclui a identificação de vulnerabilidades e dos riscos que elas enfrentam.
Projeto de resiliência cibernética
O trabalho de design seleciona os controles, procedimentos e treinamento apropriados e proporcionais do sistema de gestão para evitar danos a ativos críticos, quando for prático fazê-lo. O trabalho também identifica quem tem qual autoridade para decidir e agir.
Transição de resiliência cibernética
O trabalho de transição do projeto para o uso operacional testa controles e refina a detecção de incidentes para identificar quando ativos críticos estão sob estresse devido a ações internas, externas, intencionais ou acidentais.
Operação de resiliência cibernética
O trabalho operacional controla, detecta e gerencia eventos e incidentes cibernéticos, incluindo testes de controle contínuos para garantir eficácia, eficiência e consistência.
Evolução da resiliência cibernética
O trabalho de evolução protege continuamente um ambiente em constante mudança. À medida que as organizações recuperam de incidentes, devem aprender com as experiências, modificando os seus procedimentos, formação, design e até estratégia.
Desafios para alcançar a resiliência cibernética
Alcançar a resiliência cibernética é um desafio porque as empresas não têm visibilidade em tempo real da postura de segurança associada aos seus activos e infra-estruturas de TI à luz da rápida evolução das redes e do cenário de ameaças em mudança. Muitas vezes não sabem que ativos devem proteger, onde e como podem ser violados e se existem controlos de segurança adequados.
Se os controles estiverem em vigor, as equipes de segurança não terão certeza de que serão eficazes contra diferentes tipos de ameaças. O tempo é outro fator. Na maioria dos casos, as equipes de segurança não conseguem responder às ameaças em tempo hábil, pois muitos processos de identificação e mitigação de riscos ainda são manuais.
Benefícios da resiliência cibernética
- Impede que ameaças entrem nos sistemas de uma organização
- Leva os processos internos a um nível mais alto, envolvendo toda a organização nas funções e na importância da segurança
- Melhora a segurança geral com estratégias para melhorar a governança de TI, aumentando os esforços de proteção de dados, minimizando o impacto de desastres naturais e reduzindo o erro humano
- Concentra recursos escassos de TI e segurança onde eles fornecerão mais valor
- Gera mais confiança nos ecossistemas de clientes, parceiros e fornecedores
- Melhora a conformidade com regulamentações governamentais e do setor
- Mantém dados confidenciais seguros
- Mantém a continuidade dos negócios no caso de um incidente cibernético, minimizando o tempo de inatividade
- Otimiza as operações diárias do departamento de TI de uma organização, melhorando sua capacidade de responder a ameaças e garantindo que as operações diárias funcionem sem problemas
- Reduz perdas financeiras e danos à reputação
Além disso, existem outros resultados positivos que a resiliência cibernética pode garantir.
Sistemas resilientes compensam no longo prazo
Como vice-presidente da Symantec de 2000 a 2009, Rob Clyde testemunhou repetidos ataques ao sistema da empresa de segurança cibernética que processava solicitações de clientes para atualizações de software. Constantemente bombardeado com consultas ilegítimas, o sistema conseguia, no entanto, lidar com o volume fraudulento e ainda assim processar e responder ao tráfego legítimo.
Clyde reconhece que o projeto adicionou custos, com as contas aumentando à medida que o sistema foi ampliado; os engenheiros acabaram reduzindo os custos implementando defesas cibernéticas que poderiam detectar solicitações fraudulentas mais a montante e desviá-las mais cedo, reduzindo assim o número que chegava ao próprio aplicativo.
Embora esta abordagem remonte a 15 anos, Clyde diz que a estratégia da Symantec para enfrentar as ameaças à segurança cibernética de uma forma que defenda o sistema e garanta a sua disponibilidade habitual demonstra a noção de resiliência cibernética.
“Deveríamos construir sistemas para resistir às mudanças nas condições, para nos recuperarmos e continuarmos em frente”, diz Clyde
Os conselhos falham nas empresas por não se concentrarem na resiliência
Um artigo da Harvard Business Review intitulado “Os conselhos estão tendo conversas erradas sobre segurança cibernética”, pede aos conselhos que “se concentrem na resiliência”, dizendo que “embora os conselhos digam que a segurança cibernética é uma prioridade, eles têm um longo caminho a percorrer para ajudar suas organizações a se tornarem resilientes a ataques cibernéticos. E, ao não focar na resiliência, os conselhos fracassam em suas empresas.”
O conceito de resiliência cibernética inclui vários elementos organizacionais e de segurança cibernética de longa data – nomeadamente os princípios e práticas de continuidade de negócios e recuperação de desastres, bem como detecção e resposta cibernética.
No entanto, de acordo com vários líderes de segurança cibernética, a resiliência cibernética não é sinónimo de nenhum destes elementos e, na verdade, leva a empresa a ir além de cada uma dessas quatro práticas.
“Resiliência significa manter as luzes acesas sem tempo de inatividade”, afirma Sue Bergamo, consultora executiva, CIO e CISO da empresa de serviços de consultoria BTE Partners. “É normal nos defendermos de muitos ataques; é isso que fazemos todos os dias. Mas com aquele ataque que passa, é quando temos que ser resilientes, é quando temos que reprimir enquanto mantemos as luzes acesas.”
Por outras palavras, a resiliência cibernética consiste em manter os negócios normais durante um evento cibernético, enquanto a resposta a esse evento acontece em segundo plano.
A resiliência cibernética é como um gerador que mantém as coisas funcionando
Um especialista compara os benefícios de permitir a resiliência cibernética com os de um gerador elétrico: esse gerador, tal como um ambiente resiliente cibernético, mantém tudo a funcionar quando há um problema com o fornecimento de eletricidade. Por outro lado, se não houver gerador, os trabalhadores correm atrás de lanternas.
A resiliência cibernética significa que a organização pode continuar trabalhando independentemente do que os ciberataques “possam lançar contra mim”, diz Rosalie McQuaid, gerente do departamento de resiliência cibernética do MITRE, uma entidade sem fins lucrativos que opera centros de P&D financiados pelo governo federal e parcerias público-privadas.
“Não se trata de cair e se recuperar, onde você pode ter operações mais lentas ou degradadas. Isso é realmente reativo”, diz McQuaid. É semelhante ao bordão dos anúncios de relógios Timex, de décadas atrás, que mostram relógios sobrevivendo a todos os tipos de ataques, onde “levam uma surra e continuam funcionando”.
Clyde concorda, dizendo que as organizações que devem pagar um resgate para restaurar funções após um ataque de ransomware bem-sucedido ou reverter para processos analógicos enquanto a TI restaura sistemas comprometidos podem ter implementado “soluções razoáveis de curto prazo, mas não são ciber-resilientes”.
Saugat Sindhu, sócio sênior e gerente geral da empresa de consultoria e serviços de TI Wipro, faz observações semelhantes, apontando para o desempenho da Colonial Pipeline após o ataque de ransomware que sofreu em maio de 2021. A empresa se recuperou após pagar um resgate e continuou como um negócio. No entanto, a sua decisão de encerrar a sua principal função comercial – transportar combustível através dos seus oleodutos – para ajudar a conter os danos não demonstrou resiliência.
“No caso da resiliência cibernética, se os sistemas forem comprometidos, existem outros sistemas que podem detectar e manter o BAU – business as usual”, acrescenta Sindhu, líder da estratégia e prática de risco da Wipro.
Ações de alto nível em torno da resiliência cibernética
Esse foco no BAU pode explicar o crescente interesse e discussão em torno da resiliência cibernética. Nos EUA, por exemplo, o Conselho Presidencial de Consultores sobre Ciência e Tecnologia (PCAST), em março de 2023, iniciou um grupo de trabalho sobre resiliência ciberfísica, afirmando num anúncio que “as interdependências fortemente acopladas entre componentes físicos e digitais em sistemas podem levar a altos níveis de ‘fragilidade’, quando até mesmo perturbações menores levam a efeitos imprevisíveis e em larga escala.”
E continuou: “Precisamos de uma abordagem diferente, não apenas para nos defendermos de ataques e falhas cibernéticas, mas para presumir que os ataques sempre passarão e que as falhas de componentes são inevitáveis. Precisamos ser resilientes diante de ataques e falhas para que possamos resistir ou recuperar rapidamente. Isso precisa de uma reimaginação fundamental baseada na adoção de uma abordagem holística e de pensamento sistêmico.”
A Information Systems Security Association (ISSA), uma organização profissional sem fins lucrativos para profissionais de segurança da informação, tem seu Grupo de Interesse Especial em Resiliência Cibernética.
E a União Europeia tem a sua Lei de Resiliência Cibernética, um quadro jurídico proposto que rege os requisitos de segurança cibernética para produtos de hardware e software colocados no mercado da UE.
Demonstrando resiliência cibernética
Os executivos empresariais também estão a pensar na resiliência cibernética, de acordo com um relatório de outubro de 2023, The Cyber-Resilient CEO, da empresa de serviços profissionais Accenture. Para o relatório, a Accenture estudou as práticas de segurança cibernética de 1.000 CEOs de grandes organizações e descobriu que 96% concordaram que a segurança cibernética “é um facilitador chave para o crescimento e estabilidade da organização”.
No entanto, descobriu que 74% estavam preocupados com a capacidade da sua organização de evitar ou minimizar os danos causados aos negócios por um ataque cibernético.
“É uma desconexão que realça que a maioria dos CEO não tem confiança de que as suas organizações são verdadeiramente resilientes cibernéticas, e a sua incerteza reflete-se na forma como priorizam os seus investimentos em segurança cibernética”, concluíram os autores do relatório.
Além disso, a Accenture utilizou o seu próprio índice para avaliar 25 práticas líderes que medem a resiliência da cibersegurança e descobriu que apenas 5% dos CEO lideram na resiliência da cibersegurança.
Medindo a resiliência
Um evento cibernético real certamente testaria se esses CEOs são tão resilientes quanto parecem e se os restantes 95% são melhores ou piores do que pensam.
No entanto, os líderes de segurança apontam para outros métodos (mais seguros) para medir a resiliência cibernética empresarial – métodos que permitem aos CISOs avaliar onde estão, acompanhar as melhorias ao longo do tempo e articular as conclusões aos seus colegas executivos, aos seus CEO e ao próprio conselho.
Tal análise pode parecer um exercício esotérico, diz Sergio Tenreiro de Magalhães, diretor de aprendizagem do Champlain College Online e professor associado de segurança cibernética e análise forense digital.
“Mas na verdade é uma ação concreta que você pode tomar”, diz ele, acrescentando que acredita que a resiliência cibernética mede a capacidade da organização “de fornecer um nível de serviço com o qual se sintam confortáveis quando sob ataque”.
Tenreiro de Magalhães e outros apontam para quadros e ferramentas de avaliação específicos.
A Estrutura de Engenharia de Resiliência Cibernética (CREF) do MITRE é a mais antiga. Em fevereiro de 2023, a MITRE lançou seu Navegador de Estrutura de Engenharia de Resiliência Cibernética (CREF), uma ferramenta de visualização gratuita que permite às organizações personalizar suas metas, objetivos e técnicas de resiliência cibernética.
Enquanto isso, o NIST publicou a versão 800-160 v2, “Developing Cyber-Resilient Systems: A Systems Security Engineering Approach”. De acordo com o NIST, a publicação “ajuda as organizações a antecipar, resistir, recuperar e adaptar-se a condições adversas, tensões e compromissos nos sistemas – incluindo ataques cibernéticos hostis e cada vez mais destrutivos de estados-nação, gangues criminosas e indivíduos descontentes. ” (O Navigator do MITRE está alinhado com o NIST SP 800-160 v2.)
Outra ferramenta citada por alguns é a Plataforma de Segurança Cibernética CMMI da ISACA, que a ISACA promove como uma ferramenta para ajudar as organizações a construir resiliência cibernética.
Também estão disponíveis produtos comerciais para avaliar e medir o estado de resiliência cibernética de uma organização.
Resiliência cibernética significa praticar o devido cuidado e diligência
Como é a melhor prática ao usar outras estruturas e avaliações de segurança cibernética, essas estruturas e avaliações não são de tamanho único nem devem ser usadas apenas como um exercício de verificação, diz Erik Avakian, conselheiro técnico da Info-Tech Research Group e ex-CISO estadual da Comunidade da Pensilvânia.
Em vez disso, Avakian diz que eles levam os CISOs a perguntar se sua organização “pode antecipar ataques e resistir a eles com os controles e capacidades corretos”.
“Trata-se de praticar o devido cuidado e a devida diligência do ponto de vista da segurança cibernética e ter uma defesa em camadas com um programa em camadas orientado por pessoas, processos e tecnologia, com a governança, serviços e ferramentas corretos para permitir a missão da organização para que, se houver um evento, você pode se recuperar e se adaptar para manter o negócio funcionando”, acrescenta.
Para fazer isso, os CISOs e os seus colegas executivos devem ter os seus princípios básicos de segurança cibernética bem estabelecidos – princípios básicos como conhecer a sua tolerância ao risco, compreender o seu ambiente de TI, os seus controlos de segurança, as suas vulnerabilidades e como tudo isso pode impactar as operações da organização.
Os CISOs não estão limitados a estas estruturas ou às ferramentas de avaliação criadas especificamente para medir a resiliência cibernética, afirmam Tenreiro de Magalhães e outros.
Os CISOs também podem realizar simulações e exercícios de equipe vermelha para testar, medir e relatar a resiliência. A repetição de tais exercícios pode então monitorar se o programa de segurança cibernética da organização, bem como adições específicas a ele, ajudam a melhorar a resiliência ao longo do tempo, dizem os especialistas.
Na verdade, alguns dizem que até mesmo marcadores anedóticos podem ajudar CISOs e executivos a obter insights sobre o seu nível de resiliência cibernética.
Bergamo, por exemplo, diz que pode perceber se uma organização tem algum grau de resiliência observando o estado quotidiano do departamento de segurança.
“Se eles não estão correndo atordoados e enlouquecidos, estão fazendo algo certo”, diz ela. “Mas aquelas equipes que estão com os cabelos em chamas não têm resiliência”. Elas estão apenas em modo de defesa.”
Overview – Principais etapas para melhorar a resiliência cibernética
A resiliência cibernética não é uma atualização monolítica. Consiste em várias etapas com muitas iterações. Entre as medidas que uma organização pode tomar para melhorar a resiliência cibernética estão as seguintes.
Obtenha visibilidade contínua em todo o seu ambiente
O primeiro passo para a resiliência cibernética é ter visibilidade da postura de segurança cibernética de uma organização, que começa com a identificação de todos os ativos de TI vinculados à organização e com o conhecimento de quais ativos de TI estão em risco. Isto inclui ter o contexto comercial sobre esses ativos, bem como quaisquer vulnerabilidades e riscos associados. Os painéis de quantificação de riscos cibernéticos fornecem visibilidade dos riscos de uma organização em termos monetários. Isso permite que as partes interessadas priorizem ações de mitigação de riscos com base no impacto nos negócios. Os painéis também fornecem visibilidade sobre a eficácia dos controles de segurança.
Eleve a resiliência cibernética para ser uma questão de nível de conselho
Tal como acontece com a cibersegurança, a resiliência cibernética exige investimentos significativos nos orçamentos e nas pessoas. Educar o conselho de administração de uma organização sobre o risco de violação e a resiliência cibernética ajuda a obter a sua adesão ao objetivo geral e ao orçamento necessário para reduzir o risco de violação, melhorando a resiliência cibernética. É útil informá-los regularmente, tal como acontece com a equipa executiva, sobre como as ações da equipa de segurança resultam em resultados de redução de riscos empresariais e como os vários projetos de segurança se relacionam com os objetivos da empresa.
Contrate e retenha os melhores talentos
Lidar com questões organizacionais, como a escassez de talentos em segurança para apoiar atividades operacionais e técnicas, é uma questão fundamental que pode manter os CISOs desafiados. Uma forma de mitigar esta situação é aproveitar os talentos existentes através do desenvolvimento dos conjuntos de competências de segurança desejados. Isso inclui capacitá-los com as ferramentas certas, como aquelas que usam automação e aprendizado de máquina, e parcerias com fornecedores que possam atuar como consultores confiáveis. Significa também dedicar tempo para cultivar a satisfação dos funcionários para garantir os recursos valiosos que uma organização já reteve.
Concentre-se nos fundamentos da segurança cibernética
Siga as melhores práticas e aproveite os sistemas e ferramentas de segurança, como:
Segurança proativa
- Proteção antimalware
- Antivírus
- Quantificação do risco cibernético
- Segurança de e-mail
- Proteção de endpoint, segurança de endpoint
- Proteção contra ransomware
- Gerenciamento de vulnerabilidades baseado em risco
- Inventário unificado de ativos
- Filtragem de URL
Segurança preventiva
- Cópia de segurança
- Educação
- Criptografia
Sistemas de gerenciamento de segurança
- Prevenção contra perda de dados (DLP)
- Gerenciamento de acesso de identidade (IAM)
- Autenticação multifator (MFA)
- Ferramentas de gerenciamento de patches
- Informações de segurança e gerenciamento de eventos (SIEM)
Algumas outras considerações ao avaliar como melhorar a resiliência cibernética são:
Componentes da Estratégia de Resiliência Cibernética
Uma estratégia abrangente de resiliência cibernética aborda a segurança cibernética em todos os níveis para proteger proativamente a organização, detectar ameaças, responder e recuperar, governar e adaptar-se.
Proteger a organização proativamente
Para proteger proativamente os sistemas, aplicações e dados dos quais uma organização depende para a continuidade dos negócios, a estratégia de resiliência cibernética deve incluir os sistemas de segurança cibernética necessários para proteger todos os sistemas, dispositivos, aplicações e dados. Alguns componentes principais disso devem ser:
- Sistema de gerenciamento de ativos
- Criptografia para dados em repouso e dados em trânsito
- Controles de identidade e acesso
- Políticas de informação e segurança
- Proteção contra malware
- Segurança de redes e comunicações
- Corrija e atualize o sistema de gerenciamento
- Segurança física e ambiental
- Gestão de riscos da cadeia de suprimentos
- Treinamento
Detectar ameaças
Capturar os malfeitores antes que eles cometam um ato malicioso é uma parte importante da resiliência cibernética. Algumas ferramentas importantes que ajudam na identificação de ameaças são:
- Detecção e resposta de endpoint (EDR)
- Detecção e resposta estendida (XDR)
- Sistemas de detecção e prevenção de intrusões (IDS/IPS)
- Detecção e resposta gerenciada (MDR)
- Detecção e resposta de rede (NDR)
Responder e recuperar
A probabilidade de um incidente cibernético, apesar da melhor segurança cibernética, permanece elevada. Para garantir a continuidade dos negócios, os programas de resiliência cibernética incluem:
- Gestão de Continuidade de Negócios
- Gerenciamento de resposta a incidentes
- Gestão de continuidade das Tecnologias de Informação e Comunicação (TIC)
- Compartilhamento de informações e colaboração
- Informações de segurança e gerenciamento de eventos (SIEM)
Governança
Para que os processos e a tecnologia sejam eficazes como parte de um programa de resiliência cibernética, é necessária governação. As recomendações para apoiar a governação das pessoas, processos e soluções utilizadas para apoiar a resiliência cibernética incluem:
- Compromisso e envolvimento do conselho
- Certificações externas e validação
- Estrutura e processos de governança
- Audições internas
- Programa de gerenciamento de risco
Adaptação
O que torna a resiliência cibernética complicada também impulsiona o seu sucesso: a mudança contínua. As mudanças no cenário de ameaças, na superfície de ataque, nas pessoas, na tecnologia e nos sistemas precisam ser incluídas em programas de resiliência cibernética à medida que as mudanças ocorrem. Esta evolução garante que uma organização esteja perfeitamente preparada para lidar com quaisquer incidentes cibernéticos que ocorram com o mínimo de interrupção possível.
Resiliência cibernética versus segurança cibernética
Existe uma confusão persistente entre segurança cibernética e resiliência cibernética e a sua relação. A resiliência cibernética não substitui a segurança cibernética. Eles são complementares. As técnicas de resiliência cibernética são utilizadas para apoiar e melhorar as medidas de segurança cibernética.
Ciber segurança
A segurança cibernética é uma estratégia de defesa que consiste em uma combinação de tecnologias e processos projetados para aplicar políticas e proteger sistemas, redes, dados e infraestrutura de TI contra ameaças cibernéticas (por exemplo, malware, ransomware, hacktivismo, pessoas internas mal-intencionadas). A segurança cibernética eficaz reduz o risco de ataques cibernéticos e protege recursos e ativos contra perda, roubo ou danos.
Resiliência cibernética
A resiliência cibernética combina segurança cibernética e resiliência operacional. Refere-se à capacidade de uma organização de prevenir, responder, mitigar e recuperar consistentemente de incidentes cibernéticos. Isso inclui ameaças e ataques de cibercriminosos e pessoas mal-intencionadas, e também falhas catastróficas do sistema devido a configurações incorretas e exclusões acidentais. A resiliência cibernética pode ser aplicada a ameaças externas e internas.
As estratégias de resiliência cibernética pressupõem que os atacantes têm uma vantagem em atingir o seu alvo com ferramentas e abordagens inovadoras, utilização de diferentes variantes de malware e o elemento surpresa. Esse conceito ajuda as empresas a preparar, prevenir, responder e recuperar e retomar com sucesso seus processos e operações comerciais pré-ataque. Em suma, a resiliência cibernética exige que a empresa pense de forma diferente e seja mais ágil para antecipar e mitigar os ataques.
Os líderes empresariais em todo o mundo percebem que nenhuma solução única de segurança cibernética é suficiente para enfrentar os ataques cibernéticos sofisticados e em constante evolução de hoje. Apesar de aumentarem as suas defesas, os cibercriminosos ainda podem tirar vantagem do erro humano ou encontrar brechas e penetrar na rede e nos sistemas de TI da sua empresa. É aqui que o uso de ferramentas proativas com automação e IA é fundamental para estabelecer a resiliência cibernética em toda a organização.
Você pode facilitar a gestão de segurança de TI da sua empresa ao contratar a parceira certa de TI.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.
